UK Information Commissioner: Online Tool zum Datentransferrisiko. Ein Vorreiter? Wie reagieren die EU Datenschutzbehörden?

von Dr. Axel Spies, veröffentlicht am 22.11.2022
Rechtsgebiete: Wirtschaftsrecht8|5873 Aufrufe

Der U.K. Information Commissioner (ICO) hat ein Online-Tool zur Bewertung des Transferrisikos (TRA) veröffentlicht, um auf der Grundlage früherer Leitlinien eine Bewertung des Transferrisikos durchzuführen.

Das Vereinigte Königreich zeigt damit seine Unterstützung für eine risikobasierte Bewertung. Aber Vorsicht: Die EU-DSGVO Analyse könnte je nach DSB strenger sein, so dass ein Datenexporteur das Online Tool derzeit in der EU nicht verwenden sollte.

Das Tool hilft Organisationen dabei, sicherzustellen, dass es unter den besonderen Umständen der Übermittlung (in die USA) angemessene Schutzmaßnahmen gibt. Es enthält außerdem:

- eine Liste der besonderen Datenkategorien nach der UK GDPR

- eine Liste typischer Kategorien personenbezogener Daten mit einer ersten Risikobewertung

- Beispiele für zusätzliche Schritte und Schutzmaßnahmen, die bei Übermittlungen zu berücksichtigen sind.

Die spezifischen Fragen, die der ICO beantwortet haben möchte, lauten übersetzt:

- Q1: Welches sind die besonderen Umstände der eingeschränkten Übermittlung?

- Q2: Wie hoch ist das Risiko für die Personen, deren personenbezogene Daten Sie übermitteln wollen?

- Q3: Welches ist ein angemessenes und verhältnismäßiges Maß an Untersuchungen angesichts des Gesamtrisikos der personenbezogenen Daten und der Art Ihrer Organisation?

- Q4: Erhöht sich durch die Übermittlung das Risiko einer Menschenrechtsverletzung im Zielland erheblich?

- Q5(a): Sind Sie davon überzeugt, dass sowohl Sie als auch die Personen, um die es bei der Übermittlung geht, in der Lage sein werden, den Übermittlungsmechanismus nach Artikel 46 gegen den Importeur im Vereinigten Königreich durchzusetzen?

- Q5(b): Wenn Durchsetzungsmaßnahmen außerhalb des Vereinigten Königreichs erforderlich sein könnten: Sind Sie davon überzeugt, dass Sie und die Personen, um die es bei den Informationen geht, in der Lage sein werden, den Übermittlungsmechanismus nach Artikel 46 im Zielland (oder anderswo) durchzusetzen?

- Q6: Gilt eine der Ausnahmen von den eingeschränkten Übermittlungsvorschriften für "Daten mit hohem Risiko"?

Das Ergebnis ist i.E. dasselbe wie das der EU-Datenschutzbehörden, die "Schrems 2" bisher ausgelegt haben: Wenn der Datenexporteur mit Hilfe des TRA-Tools zu dem Ergebnis kommt, dass das Übermittlungsverfahren keine angemessenen Garantien und keine wirksamen und durchsetzbaren Rechte der betroffenen Personen für alle personenbezogenen Daten bietet, darf er die Übermittlung nicht durchführen.

Was meinen Sie, welchen Einfluss wir das neue Tool des ICO auf die Debatte in der EU haben?  Werden die DSB in der EU nachziehen?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

8 Kommentare

Kommentare als Feed abonnieren

Interessant. Eine genauere Analyse des ausländischen Rechts der Überwachung scheinen die Briten nicht mehr zu verlangen. Es kommt eher auf die übermittelten Daten an. Aber ob die Kategorien so stimmen? CCTV-Daten= moderate. "Habits" = low. Wirklich? 

0

Ein -wie ich finde- realistischer und praktikabler Ansatz für Zielsetzung der Artt. 44 ff DS-GVO.

Der Begriff TranferRiskAssessment (TRA) passt schon besser als TransferImpactAssessment (TIA) und gibt den Schutzzweck der Normen besser wieder.

Interessant ist auch, dass das Grundrisiko neben dem Schutz der Privatsphäre auch „andere“ Menschenrechte einbezieht: „people’s privacy and other human rights“. Damit sind dann sowohl Art. 8, als auch Art. 9 der GRCh umfasst. Im Fokus der Prüfung stehen die Risiken für die Betroffenen und nicht die Rechtsordnung des Empfängerstaates (siehe Frage 3).

Die Intensität der Untersuchung des Risikos wird unter der Frage 3 Table 4 dargestellt. Es gibt 3 Untersuchungslevel, die abhängig vom Schadensrisiko („harm risk“) Anwendung finden. Prüfungskriterien sind hierbei die Human Rights and Democracy Reports und auch der Amnesty International Report. Das sind konkreter Anhaltspunkte als die „Gepflogenheiten“ in Klausel 14 b) iii) Fn. 12 der SCC.

Vielen Dank für den wichtigen Beitrag. In der Tat: Der Ansatz der ICO basiert auf der Risikoeinschätzung für das Individuum und seiner Menschenrechte. Das wirft die Frage auf, ob der DSGVO-Datenschutz für bestimmte Datenkategorien abgestuft werden kann oder muss (so schon angelegt im Art. 9). Das Thema hatte ich in meinem ZD- Editorial 3/2020 schon einmal angesprochen: "Sind manche Datensätze schützenswerter als andere?" Zitat: "Eine Abstufung, nach der manche personenbezogenen Datensätze besonders schützenswert sind (oder zumindest anders zu behandeln sind), ist in den USA gängige Praxis..." 

Zum Thema Proportionalität des Datenschutzes gibt es von 2020 Guidelines des EDPS:https://iapp.org/resources/article/edps-guidelines-on-assessing-the-proportionality-of-measures-that-limit-the-fundamental-rights-to-privacy-and-to-the-protection-of-personal-data/ 

Aber in D gibt es das Volkszählungsurteil des BVerfG, wonach kein Datum "unwichtig" ist. 

0
Noch zum Thema überbordende Datenschutzaufsicht:  "Microsoft 365 – so sollte Datenschutzaufsicht nicht sein" "Deutschlands Datenschutzbehörden tragen eine große Verantwortung für Staat und Gesellschaft. Ihr Umgang mit dem Datenschutz muss grundlegend neu justiert werden. Ein Gastbeitrag."

https://www.faz.net/aktuell/wirtschaft/digitec/microsoft-365-so-geht-das...

Haben Sie Anmekungen zu diesem Artikel? 

Unter dem Keulenschlagwprt "Datenschutz" wabert manches. Systematisieren würde ich etwa wie folgt:

1.) Was an Daten MICH betreffend darf sich besorgen

a) der Staat  ( Video-Überwachung  im öffentlichen Raum ), Herumspähen und sammeln  aa) öffentlich Greifbares ( youtube, instagram, tiktok pp.., social media  pp.  bb) "Hintenrum" ( Datenspeicherabfrage , auch per Adressen bei PlattformBetreibern )

b) Private / Öffentlichkeit ?  aa) Unternehmen durch Abgreifen von Daten  meiner Apparaturen wie Bagger, Traktoren, LKW, PKW , Maschinen bb) etwa auch durch Zugriff auf EDV-Programme ?

2.) Was an Daten darf ICH weiterverbreiten? sortiert zB nach  a) Gewinnung (nicht, wenn durch berufsrechtlich geschütztes Vertraulichkeitsverhältnis ) b) Inhalt  aa)Fakten über andere  bb) Meinungen , Inhalte.

3.) Wer und ggf, wann und warum darf MEINE publizierten Daten "löschen" ? Schutz der Meinungs- und Äußerungsfreiheit.  Höchstwertig !!!! Ja, Herr Müller ! 

0

zu 3) Es ist sehr einfach: Wer sich themenfremd oder gar volksverhetzend unter meinen Beiträgen äußert, dessen Kommentar wird gesperrt. Wer dies auch nach Aufforderung mehrfach nicht unterlässt, dessen Kommentare werden von mir grundsätzlich gesperrt, auch wenn er mit einem neuen Pseudonym auftritt. Das hat mit Datenschutz rein gar nichts zu tun. Aus Art. 5 GG ergibt sich kein Grundrecht, sich auf allen (insbes. privaten) Internet-Plattformen oder Diskussionsforen zu verbreiten, insbesondere nicht das Recht, sich beleidigend zu äußern oder gar volksverhetzend.

Kommentar hinzufügen